On Sat, Aug 30, 2025 at 05:43:15AM +0200, hamster wrote: > Je blaguais sur le fait que le premier comtpe créé qui est sudoer, c’est un > standard ubuntu et pas un standard debian. il y a donc une idée d'ubunutu qui aura été bonne. > Coté autonomisation de bob, il y a aussi le fait qu’il soit le plus possible > capable de se débrouiller sans moi. Donc en allant faire des recherches sur > internet. Et sur internet, il va trouver tout plein de forums ou on lui dit > de taper sudo <commande>. Il va difficilement trouver des endroits ou on lui > dit de commencer par taper su - pour devenir root puis taper ses commandes > sans sudo. Et je serais fort étonné qu’il arrive a trouver un endroit ou on > va lui parler de doas ! oui. mais ca fait partie de l'autonomisation que: * de lui expliquer pourquoi les 2 autres commandes sont problematiques à mes yeux * de l'aider à comprendre et adapter une commande (et là c'est simple) > > oui ... alors en fait dans le cadre des installs que j'ai pratiqué, > > et si bob est consentant: > > > > * je connais le mdp root aussi (ou plutot j'ai un fichier crypté > > avec ma clef contentant ces mdp root sur une clef usb) > > Ah, on en reviens au fait que tu a son mot de passe. non: tu reviens là dessus. je ne m'en suis en fait jamais servi et j'ai mis la chose en place parce qu'une fois, bob m'a ramener un portable que j'avais installé et qui boutait plus (systemd de #&$ç'!) et que la console de maintenance demande le mdp du root. mais je pense que si la meme situation se représentait, j'utiliserais plutot une clef d'install debian (ou un démarage pxe) pour chrooter sur la partoche à réparer. cette discussion me fait me rendre compte que je vais parler a bob avant de suprimer ce fichier devenu inutile. > Sur le plan éducatif, j’aime qu’il ait a taper son mot de passe pour passer > root. Psychologiquement, c’est le moment ou on se met a faire attention a ce > qu’on fait parce qu’il n’y a plus de garde-fou. ben du coup la conf. de doas n'en est que plus simple permit :root sauf que du coup c'est lui qui tapperas le mdp pour moi dans tmux. ce qui est un choix possible. > Dans 95 % des cas, bob me demande de mettre une connexion automatique parce > que ca le gonfle d’avoir a taper son mot de passe a chaque fois qu’il > démarre son ordi. Et il me demande aussi de virer le verrouillage > automatique quand l’écran se met en veille pour la meme raison. alors je dis "amen mais viens pas te plaindre le jour ou tu te fais pourrir". > si je refuse il se met un mot de passe ridicule (genre 6 chiffres) pour le > taper facilement, et c’est un problème de sécurité encore plus grave. j'ai pas de pb avec ca ou les mdp de 3 lettres parce que je sais que bob est chez lui et que son port ssh n'est pas accessible depuis l'exterieur (puisque écoutant sur localhost). le scenario brute force me parait donc peu crédible. > Il y a aussi le cas ou bob autorise un ami ou un membre de sa famille a > utiliser son ordi. Dans ce cas, l’ami peut faire ce qu’il veut sans avoir a > taper de mot de passe pour devenir root. ah non parce que l'invité utilise un compte invité qui est vidé apres usage. ca j'y tiens! a+ -- Marc Chantreux
Attachment:
signature.asc
Description: PGP signature